Ho implementato un firewall software sul mio server e ho chiuso tutte le porte non necessarie. Ho password complesse e convalido l'input dell'utente sul mio sito web.
Con queste cose già in atto, mi consiglia di utilizzare rkhunter per aiutare a rilevare i rootkit? O sarebbe inutile?
risposte rapide
Le risposte più rapide sono: "defense-in-depth" e "plan for failure"
Hai protezioni sul posto, ma cosa succede se falliscono? Cosa succede se un utente malintenzionato trova un modo per utilizzare un metodo che non hai previsto? Da queste prospettive, quindi, sì, rkhunter è necessario.
Ma, quindi, inizi a chiedere "quando smetterò di aggiungere più protezione?"
Giuste risposte
Esiste un calcolo da eseguire su quali sono i rischi e quanto sono probabili, quali sono i costi se tali rischi sono realizzati e i costi di mitigazione di tali rischi. Ogni pezzo di protezione che hai messo in atto deve essere mantenuto e aggiornato, il che è un costo. Se tali costi sono inferiori ai costi di un incidente, allora ne vale la pena. In caso contrario, stai spendendo più di quello che stai proteggendo. Questo rapido calcolo è il modo in cui determini, "è necessario?"
Altre opzioni
Potrebbero esserci altre considerazioni più importanti, a seconda della situazione. Registrazione? I backup? Encryption? Facilità di spazzare via il server e ricostruire dal bene noto? Firewall di applicazioni Web? Progettazione sicura delle applicazioni Web (oltre agli input)? Ottenere una buona recensione di terze parti dell'intero ambiente potrebbe evidenziare i componenti più importanti.
Spero che queste idee aiutino.
Sì, dovresti usare rkhunter (o simili) e anche altri strumenti di sicurezza - quanto tempo e impegno dipendono dal valore del servizio, ma in aggiunta a un firewall che consiglierei (come impostazione di base):
un metodo per identificare le patch di sicurezza richieste - una soluzione automatizzata può sembrare uno sforzo molto più grande - ma anche per un sito web di basso valore, dovresti controllare almeno una volta alla settimana.
protezione aggiuntiva per l'accesso ssh - ovviamente hai disabilitato l'accesso root ssh e l'accesso limitato solo a un gruppo con nome, ma è comunque una buona idea usare port-knocking o fail2ban per ridurre il rumore
un correttore di file interity - se ti capita di essere hackerato, questo è di vitale importanza per riportare il tuo sistema online e sicuro
un rilevatore di rootkit
backup regolari - e testarli per assicurarti di poter tornare a un sistema funzionante